DSA: Umsetzungsfrist endet nächsten Monat
Die Umsetzungsfrist für den Digital Services Act (DSA) endet nächsten Monat. Das bedeutet, dass bis zum 17.02.2024 alle betroffenen Anbieter die hierin beschriebenen Pflichten umsetzen müssen. Wir erklären insbesondere, was das für Ihr Unternehmen aus datenschutzrechtlicher Sicht bedeutet.
Hintergrund des DSA
Die zunehmende Digitalisierung unserer Lebenswelt erfordert klare rechtliche Rahmenbedingungen. Der DSA stellt eine Antwort der europäischen Gesetzgebung auf die Herausforderungen der digitalen Ära dar. Sein Ziel ist es, die Regulierung digitaler Dienstleistungen zu verbessern und den Schutz der Verbraucher sowie ihrer Daten zu stärken. Wesentliche Aspekte des DSA sind die verstärkte Verantwortlichkeit von Plattformen für gehostete Inhalte, die Eindämmung illegaler Online-Aktivitäten und die Stärkung der Transparenz in der digitalen Welt.
Sind Sie betroffen?
Da die Umsetzungsfrist für den DSA nächsten Monat endet, sollten sich Unternehmen, falls nicht bereits geschehen, informieren, ob sie von den neuen Regeln betroffen sind. Gemäß Art. 2 Abs. 1 DAS gilt die Verordnung für Vermittlungsdienste. Nach Art. 3 lit. g DSA sind Vermittlungsdienste die Dienstleistungen der Informationsgesellschaft der Durchleitung, des Cachings und des Hostings. Jedoch sind Suchmaschinen hier nicht aufgelistet. Ein Online-Shop könnte allerdings unter die Definition fallen. Datenschutzrechtliche Pflichten treffen vor allem Online-Plattformen
Reine Durchleitung
Nach Art. 3 lit. g i DSA liegt ein reiner Durchleitungsdienst vor, wenn er von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermittelt oder den Zugang zu einem Kommunikationsnetz vermittelt.
Caching-Leistung
Art. 3 lit. g ii DSA definiert eine Caching-Leistung als eine Leistung, die darin besteht, von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz zu übermitteln, wobei eine automatische, zeitlich begrenzte Zwischenspeicherung dieser Informationen zu dem allgemeinen Zweck erfolgt, um die Übermittlung der Information an andere Nutzer auf deren Anfrage effizienter zu gestalten.
Hosting-Dienst
Hingegen handelt es sich nach Art. 3 lit. g iii DSA um einen Hosting-Dienst, wenn er von einem Nutzer bereitgestellte Informationen in dessen Auftrag speichert. Neben Rechenzentren können hierunter unter Umständen auch Online-Shops fallen, wenn sie Kundeninformationen beim Anbieter speichern. Sie müssen zusätzlich die Pflichten nach Art. 16 – 18 DSA beachten.
Online-Plattform
Viele datenschutzrechtliche Vorschriften des DSA gelten nur für Betreiber von Online-Plattformen. Nach Art. 3 lit. i DSA handelt es sich hierbei um einen Hosting-Dienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet, sofern keine gesetzliche Ausnahme greift. Hierunter müssten zum Beispiel Social-Media-Plattformen, Cloud-Anbieter oder Web-Markplätze fallen. Online-Plattformen müssen neben Art. 16 – 18 DAS auch Art. 19 – 32 DSA beachten.
Neue datenschutzrechtliche Pflichten
Allgemeine Pflichten für Vermittlungsdienste
Zunächst regelt der DSA in Art. 11 – 15 allgemeine Verpflichtungen für alle Vermittlungsdienste. Nach Art. 14 Abs. 1 DSA müssen Anbieter in den Allgemeinen Geschäftsbedingungen Angaben zu Beschränkungen auf die vom Nutzer bereitgestellten Informationen machen. Dazu zählen alle Leitlinien, Verfahren, Maßnahmen und Werkzeuge, die zur Moderation von Inhalten eingesetzt werden. Die Angaben müssen nach Satz 3 in klarer, einfacher, verständlicher, benutzerfreundlicher und eindeutiger Sprache abgefasst und leicht zugänglich sein. Haben diese Methoden datenschutzrechtliche Bedeutung müssen sie ebenfalls in Datenschutzhinweisen unter den entsprechenden Anforderungen transparent aufgezählt werden.
Besondere Pflichten für Hosting-Dienste
Art. 16 und Art. 17 DSA normieren Pflichten bezüglich eines Melde- und Abhilfeverfahrens. Über die hiernach erforderlichen Verarbeitungsvorgänge ist im Datenschutzhinweis entsprechend aufzuklären.
Außerdem muss nach Art. 18 Abs. 1 DSA der Hosting-Dienst-Anbieter bei dem Verdacht von gewissen Strafteten die Informationen an Strafverfolgungs- und Justizbehörden weiterleiten. Hierbei dürfte es sich um eine Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. c Datenschutzgrundverordnung (DSGVO) handeln.
Besondere Pflichten für Online-Plattformen
Gemäß Art. 25 Abs. 1 DSA dürfen Online-Plattformen ihre Online-Schnittstellen nicht so konzipieren, organisieren oder betreiben, dass Nutzer getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt oder behindert werden. Damit wird zum Beispiel die Verwendung von Dark Patterns oder Nudging untersagt.
Weiterhin müssen nach Art. 26 Abs. 1 lit. d DSA Online-Plattformen bei Werbung sicherstellen, dass Nutzer jeweils klar, präzise und eindeutig in Echtzeit aussagekräftige, über die Werbung direkt und leicht zugängliche Informationen über die wichtigsten Parameter zur Bestimmung der Nutzer, denen die Werbung angezeigt wird, erhalten. Zudem müssen sie erkennen können, wie sie diese Parameter ändern können. Außerdem darf nach Abs. 3 keine Werbung angezeigt werden, die auf Profiling gemäß Art. 4 Nr. 4 DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO beruht.
Zudem müssen beim Einsatz von Empfehlungssystemen, die in Art. 3 lit. s DSA definiert sind, nach Art. 27 Abs. 1 DSA ähnliche Vorgaben wie bei Werbung beachtet werden, die auch in der Datenschutzerklärung auszunehmen sind.
Zuletzt sieht für Minderjährige Art. 28 DSA besondere Schutzmaßnahmen vor. Für sie muss bei Online-Plattformen ein hohes Maß an Privatsphäre, Sicherheit und Schutz gewährleistet sein. Dabei gibt es insbesondere Einschränkungen bezüglich Profilings in Abs. 2. Gesonderte personenbezogene Daten müssen aber nach Abs. 3 nicht verarbeitet werden.
Fazit
Die Umsetzungsfrist des DSA endet nächsten Monat. Mit dem DSA stehen digitale Dienstleister vor neuen Herausforderungen. Die Anpassung an die gestiegenen Standards erfordert Investitionen in technologische Infrastrukturen, Schulungen der Mitarbeiter und eine umfassende Überarbeitung der Geschäftspraktiken. Insbesondere muss darauf geachtet werden, die im DSA vorgeschriebenen Pflichten auch bei den Datenverarbeitungstätigkeiten aufzulisten. Es liegt nun an den Unternehmen, diese Veränderungen als Chance zu begreifen und ihre Prozesse entsprechend anzupassen. Allerdings ist anzumerken, dass ein Entwurf zum Digitale-Dienste-Gesetz, dass die Zuständigkeiten der Behörden in Deutschland konkretisieren und Buß- und Zwangsgelder festlegen soll, erst am 15.01.2024 im Bundestag vorgelegt wurde und dessen Inkrafttreten insofern noch dauern könnte.
